NIS 2 & DORA : directives et règlements ambitieux ?

Publié par SDmagazine 9 juin 2023

Adoptés par le Parlement européen le 10 novembre 2022, la Directive NIS 2 (Network and Information Systems Directive) et le Règlement Digital Operational Resilience Act (DORA) ont été publiés au Journal Officiel de l’Union européenne le 27 décembre 2022. Les Etats membres disposent désormais de 18 mois pour transposer la directive au sein de leur droit national. Pour ce qui concerne DORA elle s’appliquera en l’état à tous les Etats membres. L’entrée en vigueur des deux nouveaux textes est prévue pour fin 2024.

Par Elisabeth de France

Changement de paradigme

La directive NIS doit accroître le niveau de cyber-résilience d’acteurs tous secteurs d’activités confondus, réduire les incohérences au sein de l’Union européenne pour les secteurs d’activités déjà couverts par la directive NIS et favoriser le partage de l’information et des connaissances, ainsi que la capacité collective de préparation et de réponse aux attaques.

« NIS 2 marque un réel changement de paradigme, tant à l’échelon national queuropéen. Face à des acteurs malveillants toujours plus performants et mieux outillés, touchant de plus en plus dentités trop souvent mal protégées, NIS 2 élargit ses objectifs et son périmètre dapplicabilité pour apporter davantage de protection. Lextension du périmètre prévue par NIS 2 est sans précédent en matière de réglementation cyber. » témoigne Mathieu Isaia, directeur général de TheGreenBow.

Nouveaux secteurs concernés et nouvelle nomenclature

NIS 2 signe donc la fin des OSE et crée deux nouvelles typologies d’entreprises : les entités essentielles (EE) et les entités importantes (EI). NIS 2 s’appliquera à des milliers d’entités appartenant à plus de dix-huit secteurs qui seront désormais régulés. Environ 600 types d’entités différentes seront concernés, parmi eux des administrations de toutes tailles et des entreprises allant des PME aux groupes du CAC40. La directive concerne désormais plus de 160 000 organisations au sein de l’UE.1

Parmi les entités essentielles figurent les secteurs de l’énergie, du transport, bancaire et financier, de la santé, de l’eau (potable et usée), les infrastructures numériques, les administrations publiques et l’espace. On retrouvera ici les fournisseurs de services cloud, les data center ou encore les fournisseurs de services managés (y compris de sécurité). Elles emploient plus de 50 personnes et ont un chiffre d’affaires supérieur à 10 millions d’euros. Les administrations centrales des Etats-membres ainsi que certaines collectivités territoriales intègreront également le périmètre de NIS 2.

Les entités importantes, au nombre de 8, concernent les services postaux et d’expédition, la gestion des déchets, la fabrication, la production et distribution de produits chimiques, la production, la transformation et distribution des denrées alimentaires (donc les cantines), la fabrication et les fournisseurs numériques et la recherche. La directive ne s’appliquera pas aux entités exerçant des activités dans des domaines tels que la défense ou la sécurité nationale, la sécurité publique et l’application des lois, ni au pouvoir judiciaire, aux parlements et aux banques centrales.

Oubliés de la première version, les sous-traitants et prestataires de services ayant un accès à une infrastructure critique seront également soumis à la directive NIS 2. La sécurité de la chaîne d’approvisionnement, dont les acteurs du numérique, fait l’objet d’un focus spécifique. Une première en Europe. « Les petites et moyennes entreprises devraient ainsi chercher à recruter rapidement un profil RSSI pour répondre aux nouvelles exigences de sécurité et ainsi continuer à travailler auprès des grands comptes. De quoi renforcer la tension qui pèse d’ores et désur le secteur en matière de ressources humaines. » ajoute Mathieu Isaia.

Des obligations : quelles nouveautés ?

Ces entités essentielles et importantes devront « prendre des mesures techniques, opérationnelles et organisationnelles appropriées pour gérer les risques liés à la sécurité des réseaux et des systèmes d’information. » Les mesures visées sont fondées sur une approche « tous risques », et comprennent les politiques de sécurité des systèmes d’information, les procédures de gestion des incidents (détection et remédiation des vulnérabilités et détection des incidents), les mesures de maintien de l’activité lors des périodes de crise. L’usage d’outils cryptographiques de chiffrement des données, la sécurité des ressources humaines, des politiques de contrôle d’accès et la gestion des actifs, l’utilisation de solutions d’authentification à plusieurs facteurs ou d’authentification continue, de communications vocales, vidéo et textuelles sécurisées et de systèmes sécurisés de communication d’urgence au sein de l’entité, selon les besoins, sont également à l’ordre du jour. En cas d’incident important, l’entité concernée devra le notifier à son Centre de Réponse aux Incidents de Sécurité Informatique (CSIRT) ou à l’autorité compétente dans les 24 heures puis par une notification d’incident dans les 72 heures. « Les acteurs nouvellement soumis à la réglementation devraient faire face à une augmentation maximale de 22% des dépenses actuellement engagées en matière de sécurité, contre une hausse de 12% pour les entités désoumises à la directive NIS. Ces investissements pouvant mener à terme à la réduction des coûts de gestion des incidents de cybersécurité : 11,3 milliards deuros sur 10 ans selon l’analyse d’impact. Pour les budgets nationaux et les administrations, une augmentation estimée à environ 20-30% des ressources serait à prévoir à court et moyen terme. » détaille l’Impact Assessment Report.

NIS 2 adopte une approche dissuasive en définissant des barèmes de sanctions renforcés. Au-delà de la responsabilité engagée des décideurs et des cadres dirigeants (les C-level) au sein des organisations, qui constitue la vraie nouveauté punitive, des amendes administratives sont prévues. En cas de manquement aux obligations de reporting et de mise en place de mesures de réduction des risques, elles pourraient atteindre 10 millions d’euros ou 2% de leur chiffre d’affaires annuel mondial consolidé pour une EE. Une EI s’expose quant à elle à une amende administrative d’un montant maximal s’élevant à au moins 7 000 000 euros, ou à au moins 1,4 % du chiffre d’affaires annuel mondial total de l’exercice précédent de l’entreprise à laquelle l’entité importante appartient.

NIS 2 entend également renforcer la coordination et la coopération notamment transfrontière avec une responsabilité reposant sur les CSIRTs, le Groupe de Coopération NIS et EU-CyCLONe (European cyber crises liaison organisation network), nouvelle instance en charge de la réponse aux incidents de grande échelle.

La directive a été alignée sur la législation sectorielle et se coordonne avec le projet de directive relatif à la résilience des entités critiques (CER), le règlement dit « cyber-résilience » et DORA.

Renforcer la résilience opérationnelle numérique du secteur financier

DORA a pour objectif d’améliorer la résilience opérationnelle informatique des acteurs des services financiers en mettant en place un cadre de gouvernance et de contrôle interne spécifique. « DORA se veut être le règlement européen qui est une déclinaison sectorielle de la directive NIS pour le secteur financier, un secteur bien habitué des réglementations. Mais si ce règlement nest pas nouveau, il regroupe, fédère et harmonise au niveau européen les réglementations existantes. Par ailleurs, DORA accroît la sphère daction des autorités qui ont désormais la légitimité pour faire entrer dans leur périmètre de supervision de nouveaux acteurs. Il se révèle particulièrement exigeant notamment en ce qui concerne la relation contractuelle avec les prestataires de services informatiques. » souligne Mathieu Isaia.

DORA concerne les établissements de crédit mais également les tiers prestataires de services informatiques, les prestataires de services de crypto-actifs, les assureurs et réassureurs, les organismes de retraite professionnelle. Environ 20 000 organismes financiers localisés en Europe sont concernés. L’une des principales évolutions réglementaires réside en effet dans la création d’un cadre de surveillance au niveau de l’UE permettant d’identifier et de superviser les prestataires de services TIC jugés « critiques » pour les institutions financières. En cas de non-conformité, des pénalités financières et des astreintes journalières à un taux de 1% du chiffre d’affaires mondial de la précédente année d’exercice réalisé par le prestataire de services TIC concerné pourraient être prononcées. Le régulateur pourra également demander aux entités du secteur des services financiers de mettre fin à leurs accords avec le prestataire en question. « Avec la réglementation DORA, les défaillances informatiques ne sont plus uniquement laffaire de la DSI et des services de conformité, mais il faut désormais en tenir compte au plus haut niveau. Les institutions financières doivent mesurer limpact dune vulnérabilité ou d’un vol de données. » soutient Mathieu Isaia.

Disponibilité, authenticité, intégrité et confidentialité sont les quatre critères clés du règlement. Le chiffrement des données permettra d’y répondre. « On reconnait là également les trois avantages intrinsèques dune solution VPN qui permet spécifiquement de protéger ces données quand elles sont « en cours dutilisation », c’est-à-dire quand un utilisateur souhaite accéder au SI pour les consulter. » témoigne Arnaud Dufournet, directeur marketing chez TheGreenBow. Dans les mesures de protection recommandées par l’ANSSI, figure par exemple un cloisonnement et des mesures de filtrage réseau adaptés au sein du SI d’administration. « C’est dans ce cadre que nous intervenons pour protéger les flux dadministration grâce à un tunnel VPN IPsec. Depuis plusieurs mois, nous sommes sollicités sur les périmètres les plus sensibles au sein de groupes bancaires comme les CERT (Computer Emergency Response Team) et les SOC (Security Operations Center). » Pour faire face à la menace quantique, TheGreenBow travaille déjà avec des grandes banques centrales sur des projets de déploiement de clients VPN intégrant des algorithmes de chiffrement résistants aux futures attaques quantiques.

Le 17 juillet prochain au plus tard, la Commission européenne publiera des lignes directrices clarifiant la zone de partage entre DORA et NIS 2 et apportera plus de visibilité aux entités concernées par ces deux textes. Avec une entrée en application le 17 janvier 2025, il reste à peine deux ans pour les acteurs du secteur financier et leurs prestataires informatiques pour se conformer au règlement DORA.

1https://www.ssi.gouv.fr/directive-nis-2-ce-qui-va-changer-pour-les-entreprises-et-ladministration-francaises/

PARTAGER TWEETER EPINGLER PARTAGER PARTAGER